Die letzten 48 Stunden zeigen, wie stark Cyber- und Resilienzanforderungen in Europa nicht nur „mehr“ werden, sondern anders: KRITIS-Dachgesetz, NIS2 und DORA verschieben Pflichten aus der IT-Ecke in die Unternehmenssteuerung. Wer „kritisch“ ist, muss nicht nur Controls betreiben, sondern die Kritikalität von Services, Abhängigkeiten und Maßnahmen auditfähig dokumentieren und im Krisenfall beweisen können, dass Resilienz nicht nur auf dem Papier existiert.
Quelle:Freshfields:Is your company critical? Prepare for Germany’s new KRITIS UmbrellaAct!
Parallel wird NIS2 in der Praxis zunehmend zu einem Prozess- undDatenqualitätsproblem: Meldefristen lassen sich nur einhalten, wenn Vorfälle intern strukturiert erfasst, bewertet und eskaliert werden– idealerweise über ITSM-/Service-Desk-Workflows statt E-Mail. Das verbindet Incident Response, Governance und Nachweisführung zu einem operativen „Compliance Backbone“ und zwingt Organisationen, Security-Betrieb als End-to-End-Kette zu denken.
Drittparteien und Lieferketten stehen dabei nicht mehr am Rand, sondern im Zentrum. NIS2 macht deutlich, dass ein Unternehmen nur so resilient ist wie seine kritischen Provider – und dass formale Checklisten nicht reichen, wenn Subunternehmerketten, privilegierte Zugriffe und Update-Kanäle nicht kontinuierlich überwacht werden. Technisch heißt das: Vendor-Risk muss in Telemetrie, Vertragsklauseln und Incident-Playbooks übersetzt werden.
Quelle:CSOOnline: NIS2: Supply chains as a risk factor
Im Finanzsektor wird DORA sichtbar „operational“: Die CSSF öffnet Portale, verschärft Validierungen und stellt Guidance zu Fehlermeldungen bereit; die BaFin macht Workshops und Einreichungsfenster transparent. Das ist ein klares Signal: Resilienz wird über Datenformate, Rollenmodelle und Validierungslogik geprüft – wer die Datenpipeline nicht beherrscht, bekommt Rework-Schleifen statt Compliance.
Auch Datenschutz ist nicht nur Enforcement, sondern institutionelle Architektur: Die WhatsApp-Entscheidung zeigt, dass EDPB-Entscheidungen als EU-Rechtsakte angreifbar sein können – mit potenziell spürbaren Folgen für die Dynamik des One-Stop-Shop-Systems. Für Unternehmen bedeutet das: Datenschutzrisiken sind juristisch strategisch, aber technisch weiterhin banal – Datenflüsse, Transparenz und konzern-internes Sharing müssen beweisbar sein.
Quelle:Reuters:WhatsApp wins court backing to challenge $268 million Irish privacyfine
Schließlich rückt Cyber Resilience stärker in Richtung Souveränität und Systemdynamik: Gartner-Prognosen zu sovereign cloud und die Debatte um kontinuierliche Risikosichtbarkeit zeigen, dass Resilienz 2026 nicht nur „mehr Security“ bedeutet, sondern steuerbare Abhängigkeiten – technisch (Telemetry, Identity,Automation) und organisatorisch (Governance, Lieferkette, Krisenfähigkeit).
Quelle:ITPro: Sovereign infrastructure spend to triple in Europe as fifth ofworkloads stay local
